简介:常用加密机制提到应用加密技术,很多人首先想到的就是密码,其实应用加密技术是一个涵盖面很广的技能,他不仅包含了密码的应用,还包括身份鉴别,IP安全性,web安全与TLS,远程管理的安全性等等。其中密码学是最 ...
常用加密机制
提到应用加密技术,很多人首先想到的就是密码,其实应用加密技术是一个涵盖面很广的技能,他不仅包含了密码的应用,还包括身份鉴别,IP安全性,web安全与TLS,远程管理的安全性等等。
其中密码学是最常见的,包含了信息加密、数字证书、数字指纹和数字签名以及发送信息的密码技术验证。
身份鉴别就是确认实体是他所声明的,是最重要的安全服务之一。我们进行身份鉴别是为了使别的成员(验证者)获得对声称者所声称的事实的信任。
如图
鉴别分为实体鉴别、数据原发鉴别、本地及远程四种鉴别方式。
实体鉴别是指某一实体确信与之打交道的实体正式是所需要的实体,其特别是只简单的鉴别实体本身的身份,不会和实体想要进行何种活动相联系。
数据原发鉴别是指鉴别某个指定的数据是否来源于某个特定的实体,其特点是不是孤立的鉴别一个实体也不是为了允许实体执行下一步的操作而鉴别它的身份,而是为了确定被鉴别的实体与一些特定数据项有着静态的不可分割的联系。
本地是指个人和设备物理接触,不和网络中的其他设备通信。他需要用户进行明确的操作。
远程是指链接远程设备、实体和环境的实体鉴别。通常将本地鉴别结果传送到远程,要求安全易用。
实体鉴别分为单向鉴别:指通信双方中只有一方向另一方进行鉴别。双向鉴别:指通信双方相互进行鉴别。
如图:
P(Prover):示证者
V(Verifier):验证者
TP(Trusted third party):可信赖者
要实现身份鉴别,按人所知道的:密码和口令。按所有者身份:身份证、护照、信用卡等。个人特征:指纹、笔迹、视网膜、虹膜、血腥等。这些都是身份鉴别的依据。
电视上特别是高科技电影上经常有基于个人特征的识别机制,也就是生物识别技术,他是依靠人体的身体特征来进行身体验证的。其优势就是生物密钥无法复制,不会失窃或被遗忘。
如图:
活体指纹识别:
识别率在95%以上
速度:秒级
环境:常规
如图:
掌纹识别:
识别率在98%以上
速度:秒级
环境:常规
如图:
虹膜识别:
识别率在95%以上
速度:秒级
环境:常规
如图:
正面像检测:
检测率在90%以上(人脸成熟后)
速度:秒级
环境:常规
如图:
笔迹识别:
识别率在85%以上
速度:秒级
环境:常规
如图:
鉴别机制:
非密码的——口令机制、一次性口令机制、基于地址的机制、基于个人特征的机制、个人鉴别令牌
基于密码算法的鉴别——采用对称密码算法的机制、采用公开密码算法的机制、采用密码校验函数的机制、零知识证明协议
基于口令的实现如图所示:
口令机制是最广泛研究和使用的身份鉴别法,选择原则为易记、难猜、抗分析能力强,但口令系统有许多脆弱点,比如外部泄露口令、猜测线路窃听危、验证者重放等。
《PC Magazine》杂志曾评选出网络上最常用的十个密码:
1. password
2. 123456
3. qwerty(标准的传统键盘)
4. abc123
5. letmein
6. monkey
7. myspace1
8. password1
9. blink182
10. your first name(用户自己的名)
黑客界也因此制定出了一套社会工程学密码,一套好的字典也价值不菲。
后来安全界推出了一次性密码,也称为一次性口令(OTP:One Time Password)其原理是在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。比如系统登录密码=MD5(用户名+密码+时间),系统接收到登录口令后做一个验算即可验证用户的合法性。
在一些高端安全领域常采用的是令牌机制(现在很多游戏也采用令牌登录机制)。令牌是鉴定过程中使用的物理器件,通常具有存储功能,可有键盘,显示器等界面部件,更复杂的支持一次性口令,甚至可嵌入处理器和自己的网络通信设备。
软件令牌如图:
锁扣令牌如图:
智能卡令牌如图:
对称密码的鉴别机制是基于对称密码算法的鉴别依靠一定协议下的数据加密处理,通信双方共享一个密钥。鉴别和密钥交换协议的核心问题是保密性和时效性。
采用对称密码的鉴别机制分为无可信第三方参与的鉴别、单向鉴别:两实体中只有一方被鉴别、双向鉴别:两通信实体进行相互鉴别、有可信第三方参与的鉴别。
采用公开密码算法的机制时,声称者要通过证明他知道某秘密签名密钥来证实身份(单向鉴别:仅对实体中的一个进行鉴别、双向鉴别:两个通信实体相互进行鉴别)
单向认证技术
典型应用:电子邮件
特点:不要求收发双方同时在线;邮件消息的报头必须是明文,以使邮件传输协议可以处理;邮件报文应该加密以使邮件处理系统不拥有解密密钥;邮件接收者希望对邮件来源加以认证,以防假冒。
其中有个很新型的零知识证明技术。他使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。在网络身份鉴别中,已经提出了零知识技术的一些变形,例如,FFS方案、FS方案、GQ方案。
通常的身份认证都要求传输口令或身份信息,但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术。被认证方A掌握某些秘密信息,A想设法让认证方B相信他确实掌握那些信息,但又不想让认证方B知道那些信息。
Kerberos认证机制:Kerberos系统是由美国麻省理工学院设计的基于对称密钥体制的认证机制。他提供服务器和用户间的相互鉴别。
解决了在一个公开的分布式计算环境中,工作站上的用户希望访问分布在网络中服务器上的服务的问题。但存在很多威胁:用户假装为另一个用户操作某特定工作站;用户更改工作站网络地址,使其发出的请求看似来自伪装工作站;用户窃听报文交换过程,使用重放攻击获得进入服务器。
Kerberos验证过程如图:
我们看一下官方解释:AS认证服务主要負責讓KDC核發TGT與 Session Key (用戶端與 KDC 之間的 Session Key) 給用戶端。
TGS(Ticket-Granting Service,票据授权)主要負責讓KDC核發伺服端的 Ticket 與 Session Key(用戶端與伺服端之間的Session Key)。
TCP/IP各层安全性:
TCP/IP模型如图:
主要分为网络层安全性,传输层安全性和应用层安全性。
网络层:
传输层:
应用层:
提到应用加密技术,很多人首先想到的就是密码,其实应用加密技术是一个涵盖面很广的技能,他不仅包含了密码的应用,还包括身份鉴别,IP安全性,web安全与TLS,远程管理的安全性等等。
其中密码学是最常见的,包含了信息加密、数字证书、数字指纹和数字签名以及发送信息的密码技术验证。
身份鉴别就是确认实体是他所声明的,是最重要的安全服务之一。我们进行身份鉴别是为了使别的成员(验证者)获得对声称者所声称的事实的信任。
如图
鉴别分为实体鉴别、数据原发鉴别、本地及远程四种鉴别方式。
实体鉴别是指某一实体确信与之打交道的实体正式是所需要的实体,其特别是只简单的鉴别实体本身的身份,不会和实体想要进行何种活动相联系。
数据原发鉴别是指鉴别某个指定的数据是否来源于某个特定的实体,其特点是不是孤立的鉴别一个实体也不是为了允许实体执行下一步的操作而鉴别它的身份,而是为了确定被鉴别的实体与一些特定数据项有着静态的不可分割的联系。
本地是指个人和设备物理接触,不和网络中的其他设备通信。他需要用户进行明确的操作。
远程是指链接远程设备、实体和环境的实体鉴别。通常将本地鉴别结果传送到远程,要求安全易用。
实体鉴别分为单向鉴别:指通信双方中只有一方向另一方进行鉴别。双向鉴别:指通信双方相互进行鉴别。
如图:
P(Prover):示证者
V(Verifier):验证者
TP(Trusted third party):可信赖者
要实现身份鉴别,按人所知道的:密码和口令。按所有者身份:身份证、护照、信用卡等。个人特征:指纹、笔迹、视网膜、虹膜、血腥等。这些都是身份鉴别的依据。
电视上特别是高科技电影上经常有基于个人特征的识别机制,也就是生物识别技术,他是依靠人体的身体特征来进行身体验证的。其优势就是生物密钥无法复制,不会失窃或被遗忘。
如图:
活体指纹识别:
识别率在95%以上
速度:秒级
环境:常规
如图:
掌纹识别:
识别率在98%以上
速度:秒级
环境:常规
如图:
虹膜识别:
识别率在95%以上
速度:秒级
环境:常规
如图:
正面像检测:
检测率在90%以上(人脸成熟后)
速度:秒级
环境:常规
如图:
笔迹识别:
识别率在85%以上
速度:秒级
环境:常规
如图:
鉴别机制:
非密码的——口令机制、一次性口令机制、基于地址的机制、基于个人特征的机制、个人鉴别令牌
基于密码算法的鉴别——采用对称密码算法的机制、采用公开密码算法的机制、采用密码校验函数的机制、零知识证明协议
基于口令的实现如图所示:
口令机制是最广泛研究和使用的身份鉴别法,选择原则为易记、难猜、抗分析能力强,但口令系统有许多脆弱点,比如外部泄露口令、猜测线路窃听危、验证者重放等。
《PC Magazine》杂志曾评选出网络上最常用的十个密码:
1. password
2. 123456
3. qwerty(标准的传统键盘)
4. abc123
5. letmein
6. monkey
7. myspace1
8. password1
9. blink182
10. your first name(用户自己的名)
黑客界也因此制定出了一套社会工程学密码,一套好的字典也价值不菲。
后来安全界推出了一次性密码,也称为一次性口令(OTP:One Time Password)其原理是在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。比如系统登录密码=MD5(用户名+密码+时间),系统接收到登录口令后做一个验算即可验证用户的合法性。
在一些高端安全领域常采用的是令牌机制(现在很多游戏也采用令牌登录机制)。令牌是鉴定过程中使用的物理器件,通常具有存储功能,可有键盘,显示器等界面部件,更复杂的支持一次性口令,甚至可嵌入处理器和自己的网络通信设备。
软件令牌如图:
锁扣令牌如图:
智能卡令牌如图:
对称密码的鉴别机制是基于对称密码算法的鉴别依靠一定协议下的数据加密处理,通信双方共享一个密钥。鉴别和密钥交换协议的核心问题是保密性和时效性。
采用对称密码的鉴别机制分为无可信第三方参与的鉴别、单向鉴别:两实体中只有一方被鉴别、双向鉴别:两通信实体进行相互鉴别、有可信第三方参与的鉴别。
采用公开密码算法的机制时,声称者要通过证明他知道某秘密签名密钥来证实身份(单向鉴别:仅对实体中的一个进行鉴别、双向鉴别:两个通信实体相互进行鉴别)
单向认证技术
典型应用:电子邮件
特点:不要求收发双方同时在线;邮件消息的报头必须是明文,以使邮件传输协议可以处理;邮件报文应该加密以使邮件处理系统不拥有解密密钥;邮件接收者希望对邮件来源加以认证,以防假冒。
其中有个很新型的零知识证明技术。他使信息的拥有者无需泄露任何信息就能够向验证者或任何第三方证明它拥有该信息。在网络身份鉴别中,已经提出了零知识技术的一些变形,例如,FFS方案、FS方案、GQ方案。
通常的身份认证都要求传输口令或身份信息,但如果能够不传输这些信息身份也得到认证就好了。零知识证明就是这样一种技术。被认证方A掌握某些秘密信息,A想设法让认证方B相信他确实掌握那些信息,但又不想让认证方B知道那些信息。
Kerberos认证机制:Kerberos系统是由美国麻省理工学院设计的基于对称密钥体制的认证机制。他提供服务器和用户间的相互鉴别。
解决了在一个公开的分布式计算环境中,工作站上的用户希望访问分布在网络中服务器上的服务的问题。但存在很多威胁:用户假装为另一个用户操作某特定工作站;用户更改工作站网络地址,使其发出的请求看似来自伪装工作站;用户窃听报文交换过程,使用重放攻击获得进入服务器。
Kerberos验证过程如图:
我们看一下官方解释:AS认证服务主要負責讓KDC核發TGT與 Session Key (用戶端與 KDC 之間的 Session Key) 給用戶端。
TGS(Ticket-Granting Service,票据授权)主要負責讓KDC核發伺服端的 Ticket 與 Session Key(用戶端與伺服端之間的Session Key)。
TCP/IP各层安全性:
TCP/IP模型如图:
主要分为网络层安全性,传输层安全性和应用层安全性。
网络层:
传输层:
应用层:
附件
17.jpg (22.33 KB) -
2008-1-22 19:20
